专利名称:信息安全处理器及实现运行时上下文信息保密的方法
技术领域:
本发明涉及信息安全处理领域,尤其涉及应用于集成电路系统中的使用的基于密码学算法的信息安全处理器及实现运行时上下文信息保密的方法。
背景技术:
随着网络技术的迅猛发展,信息安全技术在当前变得尤为重要。对于日益增长的网络流量,单纯利用软件方式对数据流进行加密或者解密运算已经不能满足需求,因此构建由硬件实现的专用密码芯片的方法称为了一种新趋势。当前的信息安全芯片包括单功能型(比如DES、3DES、AES、RSA等)、多功能型、高端芯片、SOC、ASIC等等,在嵌入式系统 (Embedded System)应用中,提供信息安全解决方案的信息安全处理器被广泛采用。
然而,在一些复杂的应用中,一个信息安全处理器需要进行多任务处理,在进行任务切换时需要存取上下文信息时,如何对上下文信息进行保护以防止重要信息泄漏是目前亟待解决的问题。发明内容
为解决上述技术问题,本发明的目的在于提供一种信息安全处理器,其可确保在进行多任务处理时,对上下文信息进行加密后存放到外部可见的位置,从而防止多任务处理过程中重要信息的泄露。
相应地,本发明的目的还在于提供一种应用上述信息安全处理器实现多任务运行中上下文信息保密的方法。
为实现上述发明目的之一,本发明的一种信息安全处理器,包括如下单元上下文存储单元、其为外部不可见的,用于存储未加密的上下文信息;密钥存储单元、存储有用于给所述上下文信息加密的上下文密钥;信息安全处理核心、用于通过所述上下文密钥将所述上下文信息加密后,存储于外部可见位置。
作为本发明的进一步改进,所述信息安全处理核心还用于通过加密时采用的上下文密钥对上下文进行解密。
作为本发明的进一步改进,所述外部可见位置包括设于所述信息安全处理器内部的外部可见空间、或者设于所述信息安全处理器外部的外部空间。
作为本发明的进一步改进,所述信息安全处理核心还用于将上下文信息写入到所述上下文存储单元。
作为本发明的进一步改进,所述密钥存储单元为外部不可见的、只能被所述信息安全处理核心使用。
为实现本发明的另一发明目的,一种实现上下文信息保密的方法,包括如下步骤 运行过程中调用未加密的上下文信息;调用上下文密钥;通过所述上下文密钥给所述上下文信息进行加密,并存储到外部可见位置;再次使用上下文信息时,采用同一上下文密钥对所述上下文信息进行解密。
作为本发明的进一步改进,所述外部可见位置包括设于所述信息安全处理器内部的外部可见空间、或者设于所述信息安全处理器外部的外部空间。
作为本发明的进一步改进,所述“上下文信息的调用”包括读取、或者更改动作。
作为本发明的进一步改进,所述未加密的上下文信息存储于外部不可见的第一空间内,所述上下文密钥也存储于外部不可见的第二空间内。
与现有技术相比,本发明通过存放运行时上下文信息到信息安全处理器内外部不可见的位置,当需要存储上下文信息到外部可见位置时,使用上下文密钥对上下文信息进行加密,从而防止多任务处理过程中重要信息的泄露。
图1是本发明一实施方式中信息安全处理器的上下文存储的工作原理图; 图2是本发明一实施方式中信息安全处理器的存储空间的配置及使用流程; 图3是本发明一实施方式中实现运行时上下文信息保密的方法的工作流程图。
具体实施方式
以下将结合附图所示的具体实施方式
对本发明进行详细描述。但这些实施方式并不限制本发明,本领域的普通技术人员根据这些实施方式所做出的结构、方法、或功能上的变换均包含在本发明的保护范围内。
请参照图1所示,在本发明一具体实施方式
中,一种信息安全处理器10,为了支持多任务处理,具有密钥存储单元101及信息安全处理核心103两个必要部件,其还包括上下文存储单元102。
其中,上下文存储单元102为外部不可见的,用于存储未加密的上下文信息,该单元只能被处理器内部使用(即只能由信息安全处理核心访问),外部器件不可对其进行访问。在本实施方式中,上下文存储单元可包括存储动态信息的随机访问存储器(RAM)等动态存储器,上下文信息可从上下文存储单元被写入和读出。
密钥存储单元101内用于存储用于给上下文信息加密的上下文密钥,所述密钥存储单元为外部不可见的、只能被所述信息安全处理核心使用。其中,密钥是一种参数,它是在明文(未加密上下文)转换为密文(加密上下文)或将密文转换为明文的算法中输入的数据,密钥分为两种对称密钥与非对称密钥。所述密钥存储单元101包括存储动态信息的随机访问存储器(RAM)等动态存储器,和存储静态信息的只读存储器(ROM)等静态存储器。
信息安全处理核心103用于通过上下文密钥将上下文信息加密后,存储于外部可见位置。其中,所述外部可见位置包括设于所述信息安全处理器内部的外部可见空间104、 或者设于所述信息安全处理器外部的外部空间105。这里所提及的外部可见空间和外部空间均为具有一定大小的存储空间的存储器。所述信息安全处理核心103还用于将上下文信息写入到所述上下文存储单元102。
于本发明中,信息安全处理核心103还用于通过加密时采用的上下文密钥对上下文进行解密。具体地,当需要再次使用存储到外部可见位置中的上下文信息时,通过同一密钥对加密了的上下文信息进行解密以使其可以被使用。
如图2所示,为本发明一实施方式中信息安全处理器的存储空间的配置及使用流程图。其中,当系统硬复位后,开始安全启动过程;在执行安全启动过程中,初始化安全空间大小(增加安全空间O-N次);安全启动结束后,可以调整安全空间和非安全空间的比例(安全空间只能增加),在此之后,便可开始使用信息安全处理器,过程中可以根据需要再次增加安全空间比例,最后,在使用完毕后作一下硬复位。
如图3所示,在本发明一具体实施方式
中,一种运用信息安全处理器实现上下文信息保密的方法,其包括如下步骤Si、运行过程中调用未加密的上下文信息;其中,在本实施方式中,所述“上下文信息的调用”包括读取、或者更改动作。
上下文为一种属性的有序序列,它们为驻留在环境内的对象定义环境。在对象的激活过程中创建上下文,对象被配置为要求某些自动服务,如同步、事务、实时激活、安全性寸寸。
S2、调用上下文密钥;其中,密钥是一种参数,它是在明文(未加密上下文)转换为密文(加密上下文)或将密文转换为明文的算法中输入的数据,密钥分为两种对称密钥与非对称密钥。
值得一提的是,本实施方式中,所示未加密的上下文信息和对应的上下文密钥分别单独存储在不同的空间中,所述未加密的上下文信息存储于外部不可见的第一空间内 (即图1中的上下文存储单元102),所述上下文密钥也存储于外部不可见的第二空间内(即图1中的上下文存储单元101)。
S3、通过所述上下文密钥给所述上下文信息进行加密,并存储到外部可见位置;所述外部可见位置包括设于所述信息安全处理器内部的外部可见空间、或者设于所述信息安全处理器外部的外部空间。
S4、再次使用上下文信息时,采用同一上下文密钥对所述上下文信息进行解密。在本实施方式中,当需要再次使用存储到外部可见位置中的上下文信息时,通过同一密钥对加密了的上下文信息进行解密以使其可以被使用。
与现有技术相比,本发明通过存放运行时上下文信息到信息安全处理器内外部不可见的位置,当需要存储上下文信息到外部可见位置时,使用上下文密钥对上下文信息进行加密,从而防止多任务处理过程中重要信息的泄露。
以上所描述的装置实施方式仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施方式方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
以上所描述的装置实施方式仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施方式方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施方式中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
上文所列出的一系列的详细说明仅仅是针对本发明的可行性实施方式的具体说明,它们并非用以限制本发明的保护范围,凡未脱离本发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。
权利要求
1.一种信息安全处理器,其特征在于,其包括如下单元上下文存储单元、其为外部不可见的,用于存储未加密的上下文信息;密钥存储单元、存储有用于给所述上下文信息加密的上下文密钥;信息安全处理核心、用于通过所述上下文密钥将所述上下文信息加密后,存储于外部可见位置。
2.根据权利要求1所述的信息安全处理器,其特征在于,所述信息安全处理核心还用于通过加密时采用的上下文密钥对上下文进行解密。
3.根据权利要求1或2所述的信息安全处理器,其特征在于,所述外部可见位置包括设于所述信息安全处理器内部的外部可见空间、或者设于所述信息安全处理器外部的外部空间。
4.根据权利要求1所述的信息安全处理器,其特征在于,所述信息安全处理核心还用于将上下文信息写入到所述上下文存储单元。
5.根据权利要求1所述的方法,其特征在于,所述密钥存储单元为外部不可见的、只能被所述信息安全处理核心使用。
6.一种应用权利要求1所述的信息安全处理器实现上下文信息保密的方法,其特征在于,其包括如下步骤运行过程中调用未加密的上下文信息;调用上下文密钥;通过所述上下文密钥给所述上下文信息进行加密,并存储到外部可见位置;再次使用上下文信息时,采用同一上下文密钥对所述上下文信息进行解密。
7.根据权利要求6所述的方法,其特征在于,所述外部可见位置包括设于所述信息安全处理器内部的外部可见空间、或者设于所述信息安全处理器外部的外部空间。
8.根据权利要求6所述的方法,其特征在于,所述“上下文信息的调用”包括读取、或者更改动作。
9.根据权利要求6至8中任意一项所述的方法,其特征在于,所述未加密的上下文信息存储于外部不可见的第一空间内,所述上下文密钥也存储于外部不可见的第二空间内。
全文摘要
本发明提供一种信息安全处理器,其包括如下单元上下文存储单元、其为外部不可见的,用于存储未加密的上下文信息;密钥存储单元、存储有用于给所述上下文信息加密的上下文密钥;信息安全处理核心、用于通过所述上下文密钥将所述上下文信息加密后,存储于外部可见位置。与现有技术相比,本发明通过存放运行时上下文信息到信息安全处理器内外部不可见的位置,当需要存储上下文信息到外部可见位置时,使用上下文密钥对上下文信息进行加密,从而防止多任务处理过程中重要信息的泄露。
文档编号H04L9/00GK102542213SQ20111039818
公开日2012年7月4日 申请日期2011年12月5日 优先权日2011年12月5日
发明者余红斌, 妙维, 李张丰, 袁宏骏 申请人:苏州希图视鼎微电子有限公司